Perpustakaan Axios diserang melalui serangan rantai pasokan, hacker memanfaatkan token npm yang dicuri untuk menyisipkan backdoor jarak jauh, mempengaruhi sekitar 80% lingkungan cloud

Pesan Deep Tide TechFlow, 02 April, menurut laporan VentureBeat, penyerang mencuri token akses npm milik pemelihara utama library klien HTTP JavaScript yang paling populer, Axios, dan menggunakan token tersebut untuk menerbitkan dua versi berbahaya yang berisi trojan akses jarak jauh lintas platform (RAT) (axios@1.14.1 dan axios@0.30.4), dengan sasaran mencakup sistem macOS, Windows, dan Linux. Paket berbahaya tersebut bertahan di registri npm sekitar 3 jam sebelum dihapus.

Menurut data dari perusahaan keamanan Wiz, unduhan Axios mingguan lebih dari 100 juta kali, dan hadir di sekitar 80% lingkungan cloud dan kode. Perusahaan keamanan Huntress mendeteksi infeksi batch pertama hanya 89 detik setelah paket berbahaya dipublikasikan, dan dalam periode paparan berhasil mengonfirmasi setidaknya 135 sistem telah disusupi.

Perlu dicatat bahwa proyek Axios sebelumnya telah menerapkan langkah keamanan modern seperti mekanisme penerbitan tepercaya berbasis OIDC dan bukti penelusuran SLSA, tetapi penyerang sepenuhnya mengabaikan semua pertahanan tersebut. Investigasi menemukan bahwa proyek tersebut, meskipun mengonfigurasi OIDC, masih mempertahankan NPM_TOKEN tradisional yang berlaku dalam jangka panjang, dan ketika keduanya hidup berdampingan npm secara default memprioritaskan token tradisional, sehingga penyerang tidak perlu menembus OIDC untuk menyelesaikan proses penerbitan.